1. Электронный банкинг и риски недостаточного обеспечения информационной безопасности

В природе ничего не возникает мгновенно и ничто не появляется в свет в совершенно готовом виде.

Александр Иванович Герцен, русский прозаик, публицист, критик и философ

Введение

Настанет время, когда наши потомки будут удивляться, что мы не знали таких очевидных вещей.

Луций Анней Сенека, древнеримский философ

Электронный банкинг (ЭБ) – один из самых динамично развивающихся видов дистанционного банковского обслуживания (ДБО)[2]. Получив широкое распространение в Америке и Европе, ЭБ завоевывает и российский рынок.

Вот только самые известные преимущества, которые получает клиент кредитной организации, использующий для совершения своих банковских операций системы ЭБ (СЭБ):

– нет необходимости посещать банк лично и можно контролировать свои счета или управлять ими в режиме «24/7» (т. е. круглосуточно 7 дней в неделю);

– ряд кредитных организаций устанавливают продленный режим операционного дня и все платежи (зачисления и списания), поступившие в банк до 18:00 по московскому времени, исполняются банком в этот же операционный день;

– вся информация по счетам и операциям хранится на сервере кредитной организации и всегда доступна для пользователей СЭБ;

– для защиты информации используются современные средства криптографической защиты;

– разработчики большинства программных продуктов СЭБ производят обновление своих программ автоматически (не требуется обращения в кредитную организацию) [103, с. 172].

Внедрение данной услуги обходится кредитной организации относительно недорого и в дальнейшем быстро окупается только за счет абонентской платы.

Однако, несмотря на очевидную привлекательность такого способа совершения банковских операций, как у кредитной организации, так и у ее клиентов возникает немало дополнительных источников банковских рисков. Основными причинами этого являются:

– виртуальный характер дистанционных банковских операций;

– общедоступность открытых телекоммуникационных систем;

– предельно высокая скорость выполнения транзакций;

– глобальные масштабы межсетевого операционного взаимодействия;

– активное участие фирм – провайдеров услуг в проведении операций.

Таким образом, организации кредитно-финансовой сферы должны постоянно совершенствовать свои системы информационной безопасности, а специалистам риск-подразделений необходимо учитывать возможные последствия проявления рисков, связанных с работой в киберпространстве, и своевременно принимать меры по минимизации негативных последствий.

1.1. Интернет и банковский бизнес

Если новое поколение будет повторять устаревшие понятия, то как мы обеспечим быстрое движение вперед?

Иван Ефремов. Туманность Андромеды

Современный банковский бизнес невозможно представить без использования новейших достижений в области информационных и телекоммуникационных технологий. Технологии ДБО стали не только способом снижения себестоимости самих процессов выполнения банковских операций, но и основным конкурентным преимуществом любой кредитной организации на рынке банковских услуг.

Одним из условий повышения доверия к технологиям ДБО является обеспечение должного уровня информационной безопасности.

Перед тем как начать разговор о проблемах, связанных с безопасным применением различных систем ДБО (включая СЭБ), необходимо разобраться, что такое безопасность.

Безопасность (как самостоятельный объект исследования) имеет некоторые фундаментальные свойства:

1) безопасность никогда не бывает абсолютной – всегда есть некий риск ее нарушения. Таким образом, усилия по обеспечению безопасности реально сводятся к задаче понижения уровня риска до приемлемого;

2) измерить уровень безопасности невозможно, можно лишь косвенно его оценить, измерив соответствующие показатели, характеризующие состояние безопасности банка[3];

3) наступление всех рисковых событий предотвратить невозможно, можно лишь понизить вероятность наступления отдельных событий, то есть рисковые события будут наступать реже;

4) можно также понизить степень ущерба от наступления такого события, но при этом чем реже наступает рисковое событие, тем сильнее ущерб от него;

5) при любом несанкционированном вмешательстве в процесс принятия управленческих решений и обработки информации в первую очередь страдает ее безопасность.

Современный банк представляет собой комплекс, включающий в себя не только квалифицированный персонал, но и сложные автоматизированные системы, и одним из наиболее уязвимых элементов этого комплекса является банковская автоматизированная система (БАС).

Современные достижения в развитии информационных и коммуникационных технологий, в основе которых лежат возможности интернета, значительно повлияли на эволюционные процессы, связанные с формами проявления функции денег как средства платежа, и привели к формированию глобальной электронной среды для экономической деятельности за счет существенного снижения себестоимости банковских операций. Технологии ДБО можно рассматривать и как качественный аспект поступательного развития кредита[4].

Еще в конце прошлого века эксперты в области экономики стали говорить о новой среде – сетевой экономике (networked economy)[5]. Так, например, в докладе, подготовленном Европейской комиссией[6], глобальная сетевая экономика определяется как «среда, в которой любая компания или индивид, находящиеся в любой точке экономической системы, могут контактировать легко и с минимальными затратами с любой другой компанией или индивидом по поводу совместной работы, для торговли, для обмена идеями и ноу-хау или просто для удовольствия». Возникновение сетевой экономики приводит к эволюции современных экономических систем, развитию нерыночных механизмов регулирования и сетевых организационных структур [102, с. 539].

Новые возможности глобальной коммуникации между людьми дают им и новые инструменты для реорганизации форм их совместной деятельности.

Одним из самых эффективных способов модернизации инфраструктуры в экономике и создания сетевых институциональных структур является использование возможностей интернет-технологий.

Интернет-технологии не только быстро внедряются в политику, бизнес, государственное управление, но и трансформируют характер межличностных отношений в обществе (формируются виртуальные онлайновые сообщества, устанавливаются отношения информационного партнерства, осуществляется группировка пользователей по определенным информационным интересам). Все это приводит к тому, что общество привыкает к активному использованию современных информационных и коммуникационных технологий. Тенденция распространяется и на банковские услуги. Это свидетельствует о том, что мы имеем дело с самым быстрорастущим в истории человечества рыночным сообществом. Буквально за несколько лет все основные экономические виды деятельности были освоены интернетом: появились интернет-коммерция, интернет-реклама, интернет-банкинг и т. д.

Анализ трудов отечественных и зарубежных ученых позволил выявить ряд отличительных признаков всемирной паутины, способных существенным образом влиять на экономику:

– интернет втягивает в глобальную конкуренцию все компании и организации (в т. ч. коммерческие банки) независимо от места их расположения. Большинство кредитных организаций предоставляют одинаковый набор банковских услуг, поэтому выбор клиентов, как правило, связан с качеством их оказания и уровнем доверия к данному коммерческому банку;

– глобальная сеть значительно обострила конкурентную борьбу и потребовала от всех участников банковского рынка соответствовать международным стандартам (оформление веб-сайтов, поддержка нескольких языков, доступность и функциональность представительств в интернете и т. д.);

– целый ряд процессов, в том числе обслуживание и эксплуатацию аппаратно-программного обеспечения систем ДБО (включая СЭБ), можно передать на аутсорсинг. Веб-сайты многих кредитных организаций разрабатывали профессиональные компании, хорошо владеющие вопросами продвижения брендов и привлечения максимального числа клиентов;

– клиенты, использующие системы интернет-банкинга, более требовательны к качеству выполнения банковских операций, так как легко могут сравнить услуги банка с аналогичными услугами кредитных организаций – конкурентов (банки, значительно отдаленные друг от друга географически, в глобальной сети находятся «на расстоянии одного клика»);

– интернет позволяет выбирать коммерческие банки практически в любой стране и строить с ними взаимовыгодное сотрудничество для повышения эффективности и снижения издержек;

– стремительное развитие интернет-технологий не позволяет однозначно спрогнозировать все стратегические риски, связанные с ДБО;

– интернет ускоряет распространение новых технологий и идей. Коммерческие банки в любой стране, в том числе в развивающейся, могут с помощью глобальной сети отслеживать технологические инновации, получать информацию о новых банковских продуктах, используемых в Европе, Японии, Северной Америке, а также о новых проектах и действиях лидеров в каждом секторе банковского бизнеса – с точки зрения бизнеса национальные границы утратили былое значение;

– электронные банковские технологии требуют от коммерческих банков действовать «в режиме интернета» или «со скоростью интернета» – скорость становится одним из основных достоинств успешного бизнеса;

– технологии ДБО (включая СЭБ) позволяют оформлять первичные бухгалтерские документы намного быстрее;

– интернет является самым дешевым на сегодняшний день каналом обслуживания клиентов. Предоставление банковских услуг через интернет позволяет сократить служащих, которые ведут телефонные переговоры, оформляют банковские документы, консультируют клиентов по вопросам выполнения отдельных банковских операций, принимают различные претензии, предложения и др.[7];

– под интернет-проекты относительно легко получить инвестиции. Во многих странах инвестиции в интернет-проекты поддерживаются государством, так как, развивая интернет-технологии во всех отраслях экономики (включая банковский бизнес), страна выходит на новый качественный уровень;

– интернет-технологиям постоянно требуется ценный ресурс – человеческий талант: как в форме технических знаний и опыта, так и в форме управленческих ноу-хау. Самые ценные в конкурентном отношении активы организации – это лидерство в разработке ключевых технологий и кадры с уникальными опытом и знаниями.

Благодаря возможностям интернета сообщество людей стало преобразовываться в новую социально-экономическую формацию – глобальное информационное общество.

На данном этапе развития общества можно говорить об информационной революции, которая постепенно охватывает все страны, невзирая на их экономическое развитие и уровень финансовой грамотности населения.

Интернет изменил мир, и эти изменения возрастают в геометрической прогрессии. Трансформировались отношения людей, их общение, мировоззрение, поиск данных, а вместе с тем методы работы институтов и организаций. Каких-то 15 лет назад еще не было таких профессий, как разработчик архитектуры социальных сетей и руководитель цифровой рекламы. В последние годы в нашу жизнь ворвались, заняв в ней доминирующие позиции, Facebook, LiveJournal, YouTube, Twitter, Skype и многие другие интернет-продукты и социальные сети. Темпы развития этих технологий стабильно растут.

Многие банки сегодня рассматривают Facebook как важный источник информации, поскольку данная социальная сеть содержит огромное количество сведений о пользователях. Эти данные могут быть применены для оценки кредитных рисков и кредитоспособности клиентов.

Отметим одну особенность в поведении людей, которая связана с появлением интернета. Все больше людей предпочитают потреблять значительное количество маленьких фрагментов информации, а не целостный блок текста[8].

Зная об этом, западные информационные агентства на своих интернет-страницах иногда публикуют абзацы, состоящие из одного предложения. В маленьком фрагменте сложно (а чаще невозможно) передать много информации, но для совершения транзакции с помощью систем ДБО клиент и не должен читать длинные инструкции (они могут быть оформлены в виде аудио- или видеоролика).

Заметим, что информационные процессы в сознании человека, такие как обнаружение и интерпретация сенсорных сигналов, память, образы, мышление, и их изменения во времени представляют объект исследования когнитивной психологии. Поэтому серьезные компании, занимающиеся созданием программ для систем ДБО и пользовательских интерфейсов, основывают свои разработки на моделях, являющихся плодами когнитивной психологии.

По мере проникновения интернета в нашу жизнь растет популярность всевозможных мобильных устройств. Классические ноутбуки слишком громоздки, а планшеты еще не всегда обладают нужной функциональностью, поэтому и появляются все новые и новые миниатюрные лэптопы с сенсорными экранами.

Подобные устройства теперь не роскошь, а неотъемлемые компаньоны современного человека (в этом убеждаешься, когда забываешь дома мобильный телефон или планшетный компьютер).

Согласно докладу Антимонопольного центра БРИКС, количество интернет-пользователей в крупнейших странах по состоянию на март 2019 г. составило:

– 829 млн в Китае (первое место);

– 560 млн в Индии (второе место);

– 293 млн в Соединенных Штатах Америки (третье место);

– 109,5 млн в России (восьмое место)[9].

В декабре 2018 г. Международный союз электросвязи (ITU) представил отчет, в котором сообщил, что в интернет выходят 3,9 млрд человек, или 51,2 % населения планеты[10]. При этом в России 81 % граждан пользуются интернетом с той или иной периодичностью. То есть:

– 65 % выходят в сеть ежедневно;

– 14 % – несколько раз в неделю или месяц;

– 2 % пользуются интернетом крайне редко;

– 19 % не обращаются ни к каким интернет-ресурсам.

В первую очередь россияне заходят в интернет, потому что им это требуется для работы и учебы (44 %). Опрошенные стали реже искать через интернет новых знакомых, людей с близкими интересами (снижение с 16 % в 2014 г. до 4 % в 2018 г.).

Покупки через интернет ежедневно оформляют 2 % опрошенных (против 7 % в 2014 г.)[11].

Еще одно изобретение человечества в сфере высоких технологий – это «облака». Облачные платформы все чаще и успешнее используются для решения корпоративных и операторских задач. В целом применение облачных технологий позволяет:

– создать простую абстрактную среду, в которой пользователь может получить ресурсы по требованию, а компания – легче и быстрее внедрить новые приложения и услуги;

– отвлечь организацию от рутинных задач и сконцентрировать внимание на главных направлениях, выделяющих ее из конкурентной среды и значительно повышающих эффективность работы.

Нигерийская кредитная организация Renaissance Credit, образованная в октябре 2012 г., за первые полгода расширила клиентскую базу до 3 тыс. человек. Все информационные процессы компании (составление документов, работа с электронными таблицами и почтой, а также все банковские операции) происходят в «облаке», что позволило сократить штат HT-специалистов до одного человека[12].

По мнению экспертов компании Microsoft, в богатых странах банки с помощью облачных технологий уже начали обрабатывать данные, не содержащие значимой информации о клиентах, но требующие больших вычислительных мощностей. Испанский банк Bankinter использует облачную платформу Amazon для моделирования кредитных рисков: вычисления, выполнявшиеся на оборудовании самого банка за 20 часов, теперь занимают 20 минут. Также крупные банки задействуют «облака» для тестирования своих компьютерных систем, не подвергая себя опасности сбоев. Многие банки переконфигурируют свои системы в частные облачные платформы, что позволяет подключаться к облачным технологиям, находящимся в общественном доступе.

Разумеется, у широкого применения «облаков» есть свои недостатки, связанные прежде всего с безопасностью и защитой данных. Небольшим банкам крупные информационные центры, созданные такими компаниями, как Amazon и Microsoft, обеспечивают более высокий уровень безопасности, чем они сами могут себе позволить. Крупные банки, имеющие собственные вычислительные центры, опасаются передавать клиентскую информацию в посторонние руки. Кроме того, кража информации или сбой в работе банка, пользующегося «облаком», вызовет жесткую реакцию регулирующих органов. Некоторые страны настаивают на том, чтобы данные клиентов хранились в пределах национальных границ. Компании, предоставляющие облачные услуги, будут вынуждены строить небольшие информационные центры, снижая тем самым издержки. При этом такие компании из соображений безопасности стремятся не раскрывать местонахождение своих «облаков».

Впрочем, возможность повышения рентабельности делает переход банков на облачные технологии неизбежным, а указанные выше проблемы могут повлиять лишь на скорость данного процесса.

1.2. Основные виды мошенничества в интернете

Во всех странах железные дороги для передвижения служат, а у нас сверх того и для воровства.

Михаил Евграфович Салтыков-Щедрин, русский писатель

Благодаря развитию интернета появилась возможность совершения покупок, банковских переводов и платежей в режиме реального времени (онлайн). Несомненно, это позволило улучшить жизнь граждан, предоставив им новые, более современные сервисы. Однако вместе с ними возникли и новые способы мошенничества.

Наиболее активно мошенничество в интернете осуществляется в кредитно-финансовой сфере и сфере ритейла. Это обусловлено прежде всего тем, что в указанных сферах злоумышленники могут получить наибольшую материальную выгоду.

Самым распространенным способом совершения мошенничества в интернете является фишинг (phishing). Понимание данного явления постоянно изменяется, что усложняет процесс выявления и раскрытия правонарушений.

Так, можно привести несколько распространенных и широко используемых понятий:

1. Фишинг – способ мошеннических действий, при котором злоумышленник рассылает множество сообщений по электронной почте с целью получения личной и финансовой информации о потенциальных жертвах (для дальнейшего доступа к их банковским счетам и другим важным ресурсам).

2. Фишинг – информационная система, применяемая для получения от третьих лиц (пользователей системы) конфиденциальных сведений за счет введения этих лиц в заблуждение относительно ее принадлежности (подлинности) вследствие сходства доменных имен, оформления или содержания информации[13].

3. Фишинг – разновидность попыток несанкционированного доступа, когда жертву провоцируют на разглашение информации, посылая ей фальсифицированное электронное письмо с приглашением посетить веб-сайт, который на первый взгляд связан с законным источником[14].

4. Фишинг – мошеннические веб-сайты, веб-сайты, навязывающие платные услуги на базе SMS-платежей, веб-сайты, обманным путем собирающие личную информацию[15].

При анализе данного понятия можно заметить изменения в самом понимании процедуры фишинга.

Так, при применении первого понятия следует исходить из того, что фишинг осуществляется в виде сообщений, которые приходят якобы от банков, платежных систем, онлайн-аукционов, крупных и широко известных интернет-магазинов. Письмо создается, форматируется и оформляется таким образом, чтобы выглядеть как отправленное из легального источника. Причем подделываются заголовки письма, его внешний вид (включая графические и текстовые элементы), а также ссылки на реальный веб-сайт. В случае с интернет-банкингом письмо, как правило, содержит информацию о внезапно возникших технических проблемах на веб-сайте банка, в связи с чем необходима проверка учетных записей и регистрационных данных пользователей. Далее жертве предлагается открыть «регистрационную форму» и ввести интересующие мошенника данные. Так как эта регистрационная форма загружается не с веб-сайта банка, вся личная информация жертвы отправляется мошеннику (рис. 1).


Рис. 1. Регистрационная форма на веб-сайте лжебанка


Получив эти данные, мошенник распоряжается банковским счетом жертвы и кредитной картой, привязанной к этому счету, по своему усмотрению (рис. 2).

Приведем основные рекомендации для клиентов систем интернет-банкинга, помогающие определить действия интернет-мошенников[16]:


Рис. 2. Использование фальшивого веб-сайта для выманивания данных по кредитным картам


Данные по кредитным картам

– никогда не отвечать на запросы по электронной почте, касающиеся личной информации, данных банковских счетов, кредитных карт и паролей доступа;

– не переходить по ссылкам на интернет-ресурсы, присланным в сообщениях по электронной почте, а вводить ссылки в адресную строку веб-браузера самостоятельно;

– убеждаться, что при работе с веб-сайтом кредитной организации информация передается в кодированном (шифрованном) виде[17];

– регулярно проверять состояние баланса банковского счета (кредитной карты);

– немедленно сообщать уполномоченным сотрудникам кредитной организации о всех подозрениях на несанкционированный доступ к личной информации и злоупотребление ею.

Далее представлены несколько признаков, по которым можно определить, что произошло соединение с фальшивым веб-сайтом:

– невозможно просмотреть исходный текст веб-сайта[18];

– при использовании другого веб-браузера место адресной строки заметно отличается от привычного;

– при сворачивании окна веб-браузера на панель задач окно с адресом не сворачивается, а «зависает» в нижней части экрана;

– окно с адресной строкой ведет себя как самостоятельное окно Windows-задачи с возможностью перемещения по экрану монитора, но с тенденцией занять определенное место;

– адресную строку невозможно редактировать.

Второе же понимание термина «фишинг» значительно отличается от ранее рассмотренного.

При применении второго определения следует исходить из того, что данное противоправное деяние совершается с использованием домена (веб-сайта). Злоумышленник создает в интернете ресурс, который ввиду сходства информации или интерфейса должен создать у потребителя ложное представление о нахождении на легальном ресурсе. Противоправные деяния с использованием указанной схемы можно формально разделить на несколько категорий. Рассмотрим самые распространенные из них.

1.2.1. Лжебанки

Это одна из самых распространенных категорий фишинговых ресурсов. Недобросовестное лицо создает ресурс фиктивного банка и начинает привлекать денежные средства граждан и юридических лиц во вклады. Пользователь не задумывается о правомерности деятельности данного лица, поскольку интерфейс иногда схож с интерфейсом ресурса, принадлежащего реально существующему банку. Представленные фиктивные документы на ресурсы, такие как сканы лицензий и доверенностей, создают у потребителя впечатление, что банк является легальным (рис. 3).

На рис. 3–7 приведены примеры фиктивных банков[19].

В рамках проекта «Лжебанк» злоумышленники готовы предоставлять «лжекредиты». Потребитель обращается в фиктивный банк с просьбой предоставить ему кредит, псевдобанк якобы одобряет заявку и просит потребителя оплатить курьерскую доставку договора и перечислить страховую сумму. После внесения потребителем оплаты лжебанк, как правило, прекращает контакты с ним.


Рис. 3. Веб-сайт фиктивного банка (1)


Рис. 4. Веб-сайт фиктивного банка (2)



Рис. 5. Веб-сайт фиктивного банка (3)


Рис. 6. Веб-сайт фиктивного банка (4)


Рис. 7. Веб-сайт фиктивного банка (5)


Согласно статистике ФинЦЕРТ Банка России[20], за 2017–2018 гг. сняты с делегирования 489 веб-сайтов, которые выдавали себя за банки[21]. Количество ресурсов в данной категории позволяет сделать вывод, что злоумышленники активно используют наименования реальных банков и создают интерфейсы веб-сайтов, сходные с интерфейсами вебсайтов данных финансовых институтов. Необходимо отметить, что злоумышленники также активно создают сайты-клоны или сайты-двойники, что позволяет ввести пользователя в заблуждение.

Приведем перечень признаков фишинговых ресурсов данной категории:

1. Информация об организации отсутствует в справочниках/реестрах Банка России, размещенных на официальном веб-сайте Банка России.

На официальном веб-сайте Банка России (www.cbr.ru) размещены следующие информационные ресурсы, позволяющие уточнить наличие или отсутствие лицензии у банка:

– Книга государственной регистрации кредитных организаций;

– Справочник по кредитным организациям (http://www.cbr.ru/credit/main.asp).

2. Информация об организации отсутствует в соответствующих реестрах ФНС России и Роскомнадзора России.

Информацию об организации, представленной на веб-сайте, также возможно проверить в следующих реестрах:

– Едином государственном реестре юридических лиц, размещенном на официальном веб-сайте ФНС России;

– Реестре операторов, осуществляющих обработку персональных данных, размещенном на официальном веб-сайте Роскомнадзора России.

3. Веб-сайт не является официальным и не имеет никакого отношения к организации.

Третий признак – один из сложнейших. Вместе с тем данную информацию можно проверить на официальном веб-сайте Банка России с использованием Сведений об адресах веб-сайтов кредитных организаций Российской Федерации. Также отметим, что на сегодняшний день благодаря взаимодействию Банка России и «Яндекса» появилась маркировка банков и кредитных организаций, имеющих лицензию Банка России[22].

Создание веб-сайтов лжебанков стало одним из самых распространенных способов мошенничества на территории России, поскольку злоумышленникам не приходится точно копировать ресурсы реально действующих кредитных организаций: достаточно оформить на вебсайте вкладки с названиями «Кредит», «Вклады» и т. д. Данные наименования позволяют ввести пользователя в заблуждение и создать у него иллюзию, что он находится на веб-сайте действующего банка.

Потребителям необходимо обращать внимание на оформление ресурса: лжебанки, как правило, не утруждают себя размещением на официальном веб-сайте соответствующей документации, в некоторых случаях даже не указывают номер лицензии на осуществление операций. Указанные обстоятельства должны насторожить потребителя и заставить его проверить данную организацию. Фиктивные банки также активно привлекают людей с помощью почтовых рассылок или звонков на номера мобильных телефонов. В данном случае потребители должны быть бдительными и не разглашать свои конфиденциальные данные, которые могут быть использованы для хищения денежных средств.

1.2.2. Лжестраховщики

Появление возможности оформлять электронные полисы ОСАГО с использованием интернета не только облегчило жизнь автолюбителям, но и спровоцировало рост мошенничества в данной сфере.

Злоумышленник в рамках рассматриваемой категории действует различными способами:

– создает копию ресурса реально действующей страховой компании с предложением оформления электронных полисов ОСАГО;

– предлагает фальшивые или необеспеченные бланки страховых организаций.

Потребитель либо оплачивает лжеполис ОСАГО, либо оплачивает доставку и покупает фальшивые бланки.

Согласно статистике ФинЦЕРТ Банка России[23], за 2017–2018 гг. сняты с делегирования 164 веб-сайта, которые выдавали себя за субъекты страхового рынка.

Веб-сайт фиктивной страховой организации позволяет создать у потребителя иллюзию, что покупка бланка не влечет за собой негативных последствий. Вместе с тем, приобретая заведомо фальшивые, пустые и недействительные бланки, потребитель теряет возможность претендовать на страховое возмещение при наступлении страхового случая.

Фиктивная страховая компания привлекает потребителей стоимостью бланков: как правило, она на 60–70 % меньше, нежели стоимость действующего полиса реально зарегистрированной страховой компании.

Вместе с тем в данной категории мошенничества активно используется метод социальной инженерии, помогающий получить доверие потребителя.

На веб-сайты лжестраховщиков потребителей завлекают различными способами, такими как:

– всплывающая реклама в поисковых системах;

– SMS-рассылки и звонки на абонентские номера клиентов различных страховых компаний;

– запросы в поисковых системах.

Псевдостраховые компании становятся достаточно распространенными в России, поскольку потребитель старается сэкономить время и денежные средства при оформлении страхового полиса в надежде на то, что страховой случай не наступит.

Также на практике встречаются случаи, когда потребитель заказывает ту или иную страховую услугу, оплачивая ее переводом на карту лжестраховщика или на его счет. Лжестраховщик обязуется передать страховой полис или предоставить иную услугу в определенное время, но потребитель так и не получает полис или услугу.

В связи с этим потребитель должен не только обращать внимание на оформление и содержание ресурса страховой компании, но и проверять данную организацию в соответствующих справочниках и реестрах (Справочнике участников финансового рынка Банка России, перечне Российского союза автостраховщиков).

Отметим, что в соответствии с перечнем Российского союза автостраховщиков и информацией, размещенной на его официальном вебсайте, не все страховые организации уполномочены на оформление электронных полисов ОСАГО. Потребитель при переходе на веб-сайт страховой компании должен проверить следующее:

– наличие организации в Справочнике участников финансового рынка Банка России (http://www.cbr.ru/finmarket/nfo/cat_ufr/);

– присутствие веб-адреса в перечне Российского союза автостраховщиков (https://www.autoins.ru/e-osago/chleny-rsa-osushchestvlyayushchie-oformlenie-elektronnykh-polisov/).

На рис. 8-10 приведены примеры веб-сайтов фиктивных страховых компаний.


Рис. 8. Веб-сайт фиктивной страховой организации (1)


Рис. 9. Веб-сайт фиктивной страховой организации (2)


Рис. 10. Веб-сайт фиктивной страховой организации (3)

1.2.3. ПсевдоР2Р-переводы

Данная категория является одной из самых привлекательных для злоумышленников. Согласно статистике ФинЦЕРТ Банка России, за 20172018 гг. сняты с делегирования 209 веб-сайтов, которые выдавали себя за ресурсы, предоставляющие услуги по переводу денежных средств с карты на карту[24].

Привлекательность этой категории обусловлена простотой оформления информационного ресурса для хищения денежных средств. Злоумышленники получают конфиденциальные данные как платежной карточки, так и самого потребителя.

Простота оформления информационных ресурсов, предоставляющих услуги P2P-переводов, позволяет мошенникам достаточно легко их подделывать: оформляется изображение пластиковых карт, указываются эмблемы и наименования платежных систем или кредитной организации. Данные атрибуты позволяют сформировать у потребителя ложное представление, что он находится на веб-сайте реально действующей организации.

Интересным представляется тот факт, что пользователь передает злоумышленникам не только свои персональные данные, но и данные платежной карты третьего лица, которому он осуществляет перевод.

Данные ресурсы очень заманчивы для потребителей, поскольку предлагают услуги беспроцентного перевода или перевода с низким процентом между платежными картами разных банков или платежных систем.

Чтобы не допустить использование недобросовестных ресурсов, пользователь должен проанализировать следующие критерии применительно к веб-сайту:

– наличие на веб-сайте информации об операторе платежной системы;

– наличие организации в Реестре операторов платежных систем Банка России;

– использование защищенного соединения при осуществлении перевода[25].

При этом если на ресурсе указано, что услуги предоставляются какой-либо кредитной организацией, то необходимо проверить ее наличие в соответствующем перечне Банка России.

Также можно убедиться в достоверности партнерских (договорных) отношений данного ресурса и кредитных организаций или платежных систем, позвонив на официальный контактный номер платежной системы или кредитной организации с просьбой подтвердить сотрудничество с ресурсом.

Проверка ресурсов потребителем позволит обеспечить безопасность его персональных и платежных данных.

На рис. 11 и 12 приведены примеры веб-сайтов мошеннических организаций, которые предоставляют услуги по осуществлению псевдоР2Р-переводов.


Рис. 11. Веб-сайт мошеннической организации, осуществляющей фиктивные P2P-переводы (1)


Рис. 12. Веб-сайт мошеннической организации, осуществляющей фиктивные Р2Р-переводы (2)

1.2.4. Схемы с использованием страхового (закрепительного) платежа

В рамках этой категории мошенничества можно выделить два подвида:

– организация проводит псевдоопросы, за которые якобы полагается выплата денежных средств;

– организация предлагает выплату несуществующей компенсации.

В первом случае пользователь проходит опрос на веб-сайте. Как правило, опрос состоит из семи-десяти простых вопросов. После прохождения опроса ресурс якобы генерирует выигрыш и предлагает пользователю перевести денежные средства на его платежную карту. Вместе с тем с целью сохранения денежных средств и оформления их вывода ресурс предлагает пользователю заплатить закрепительный платеж. Сумма платежа обычно незначительна и составляет от 250 до 1000 руб. Пользователь, воодушевленный возможностью получить крупный выигрыш, соглашается на оплату небольшой, по его мнению, суммы и переходит на страницу оплаты.

Пользователь предоставляет злоумышленникам данные карт и персональные данные, что позволяет списать денежные средства с его платежной карты.

Вместе с тем мошенники развиваются и совершенствуются. Более изощренным является второй способ мошенничества: предоставление возможности получить якобы от государства неиспользованные страховые платежи за медицинские услуги. Как правило, на ресурсе размещается фальшивая документация Правительства Российской Федерации, якобы позволяющая осуществить возврат и выплатить компенсацию населению.

На данную категорию ресурсов пользователей активно завлекают за счет звонков и SMS-рассылок, в которых граждан убеждают в том, что компенсация предоставляется в рамках одной из федеральных программ и что она не подлежит огласке общественности, поскольку существует лимит по выплатам. Злоумышленникам необходимо привлечь потребителя и убедить его зайти на ресурс. На ресурсе предлагается заполнить специальную форму якобы для определения количества денежных средств и срока уплаты в соответствующий государственный фонд. В рамках данной формы пользователь передает мошенникам свои персональные данные, в том числе иногда скан паспорта. Веб-сайт якобы генерирует компенсацию, положенную пользователю, и так же, как в ситуации с опросами, предлагает оплатить страховой (закрепительный) платеж.

На рис. 13 и 14 приведены примеры веб-сайтов организаций, которые осуществляют описанную мошенническую деятельность.


Рис. 13. Веб-сайт организации, осуществляющей псевдоопросы, за которые якобы полагается выплата денежных средств


Рис. 14. Веб-сайт организации, предлагающей выплату несуществующей компенсации


Вместе с тем необходимо обратить внимание, что опросы могут проводиться и компенсации могут выплачиваться реально действующими организациями и государственными службами. Чтобы не стать жертвой мошенников, пользователь должен обратить внимание на следующие признаки, которые чаще всего указывают на мошеннический характер ресурса данной категории:

– перечисление денежных средств третьим лицам в счет оплаты;

– отсутствие организации в Едином государственном реестре юридических лиц;

– осуществление деятельности, не предусмотренной лицензией, разрешением.

Поиск данных признаков при обращении к различным ресурсам позволит снизить риски мошеннических действий в отношении потребителей. Пользователи того или иного ресурса должны быть осмотрительными и проверять размещенную на нем информацию.

1.2.5. Схемы быстрого обогащения: «Золотой поток» (Golden Stream), «Алмазный дождь» (Diamond Rain) и др

Речь идет о всевозможных пирамидах. Как правило, все начинается с того, что на электронный адрес потенциальной жертвы приходит письмо с предложением заработать большие деньги, участвуя в игре. Например, перечислив 100 руб. (такое предложение было в игре «Золотой поток»), можно заработать 1 млн руб. всего за 90 дней[26]. В ответ на пересылку 100 руб. жертва получает какую-нибудь дополнительную информацию или программу. Далее, как обещают организаторы, все зависит только от активности игрока: чтобы заработать свой миллион, он должен искать новых «участников», и чем быстрее, тем лучше.

Вариантов писем, которые начинаются с просьбы обязательно дочитать до конца и не сравнивать эту игру с другими, много. Однако принцип во всех этих схемах один: в начале игры жертва теряет некоторую сумму денег и все дальнейшие усилия тратит на компенсацию своих потерь, подыскивая новых «участников».

1.2.6. «Нигерийские письма»

Афера с «нигерийскими письмами»[27] – это современный вариант известного сотни лет назад мошенничества «Испанский узник», когда самозваные графы Монте-Кристо XVIII в., используя обычную почту, выманивали деньги у доверчивых людей, обещая им несметные сокровища, зарытые где-то в дальних странах.

Мошенники рассылают письма (в нашем случае по электронной почте, хотя может использоваться и обычная почта или факс), в которых содержится очень выгодное деловое предложение по переводу значительной суммы денег с африканского континента за рубеж под солидные комиссионные (до 40 %)[28]. От жертвы требуется совсем немного – предоставить свои личные данные в качестве гарантии сохранности денег и расчетный счет в банке для размещения средств [65].

Сценарии дальнейшего развития сюжета похожи на описанные выше. Под каким-либо предлогом мошенники просят перечислить незначительную сумму за оказание услуг. Это могут быть просьбы внести деньги на оплату услуг юриста, компенсировать стоимость пересылки каких-либо документов и т. д. Дальше злоумышленники, если у них есть необходимая информация для снятия денег со счета жертвы, опустошают ее счет, а могут и пригласить в какую-нибудь страну, где также, но уже с применением силы, отнимают все деньги.

Существует много разновидностей «нигерийской» аферы, но идея везде одна: требуется оказать помощь по переводу значительной суммы денег под очень высокий процент[29] (рис. 15).


Рис. 15. Пример «нигерийского письма»

1.2.7. Опасные инвестиции

Сущность данных афер заключается в предложениях инвестировать денежные средства в какое-нибудь дело (выпуск дорогостоящего продукта, ценные бумаги и т. д.). Проценты (очень высокие), как правило, начисляются каждый день (об этом инвестор может узнать на веб-сайте инвестиционного фонда). Но как только инвестор захочет взять свои деньги, у него, как и во всех перечисленных выше случаях, возникают проблемы: веб-сайт инвестиционного фонда исчезает или становится недоступен, а адрес электронной почты (зарегистрированный на одном из бесплатных почтовых серверов) оказывается безответным (рис. 16).


Рис. 16. Пример лжеинвестиционной компании

1.2.8. Виртуальная медицина

«Хватит переплачивать за лекарства – посетите наш магазин», – примерно такие сообщения с указанием веб-сайта приходят на многие адреса электронной почты. Практически все лекарственные препараты (более 97 %), которые реализуются через интернет-сайты, рекламируемые в спаме, являются контрафактными. Фальсифицированные таблетки производятся без надлежащего контроля качества и с нарушениями технологического процесса (при этом внешний вид и упаковка практически неотличимы от настоящих). Очевидно, что ничего кроме вреда такие препараты принести не могут.

Другой исход при обращении в подобные виртуальные аптеки – потеря денежных средств, отправленных в виде предоплаты за лекарства и доставку.

По статистике, на подобные веб-сайты заходят от 500 тыс. до 2 млн посетителей в месяц. Помимо опасности отдать преступникам свои деньги и приобрести контрафактные и некачественные лекарственные препараты здесь существует еще одна опасность. Открывая такие спам-письма, можно загрузить на компьютер вредоносную программу (червя[30], трояна[31] и др.), и в дальнейшем придется заниматься не только своим лечением, но и лечением компьютера.

1.2.9. Виртуальное трудоустройство

Организации, осуществляющие фиктивное устройство на работу, привлекают пользователей возможностью получить «легкие деньги». Пользователи, рассчитывая на быстрый заработок, передают злоумышленникам персональные данные, в том числе карточные, якобы для перечисления заработной платы. Нередки случаи, когда для «устройства на работу» предлагается оплатить страховой взнос для предоставления заказов или фиксирования выплат либо оплатить доставку трудового договора.

Интерфейс ресурсов данной категории, как правило, идентичен интерфейсу реальных ресурсов, что позволяет ввести пользователя в заблуждение относительно получения дохода (рис. 17).


Рис. 17. Веб-сайт организации, осуществляющей фиктивное устройство на работу


Один из вариантов схемы – предложения работы в интернете (на дому), например «виртуальным бухгалтером». Будущему работнику предлагают заниматься определенными посредническими услугами не больше 2–3 часов в день и получать заработную плату около 400 долларов. Чаще всего работать предлагают с системой WebMoney Работодатель открывает для работника счет (кошелек) и получает для него аттестат. Владельцем счета является работодатель. Работа заключается в том, чтобы осуществлять денежные переводы (WMZ[32]). Все переводы (их бывает от 30 до 50 в день) нужно совершить в течение суток. В среднем на один перевод затрачивается 2–3 минуты. Предложение достаточно заманчивое (как, впрочем, и все те, которые были описаны выше), только работодатель просит перевести 7 долларов (7 WMZ) на получение аттестата (своего рода компенсация затрат работодателя на случай отказа работника продолжать сотрудничество).

Конечно, 7 долларов – не такая уж большая сумма, но на это и рассчитана данная афера. После того как жертва перечислит деньги на получение аттестата, связь с ней прекратится.

Кстати, если потенциальный работник представится опытным пользователем интернета, знакомым со всеми платежными системами, и сообщит, что имеет счет в платежной системе, в которой предстоит работать, а также персональный аттестат и хорошо знает, как работать с денежными переводами, то, скорее всего, мошенники сразу оставят жертву в покое. Такие «кадры» им не нужны.

Ниже приведены несколько признаков, по которым можно определить, что работу, скорее всего, предлагают мошенники:

– расплывчатые описания вакансий;

– неясные требования к работникам;

– бесплатное обучение;

– слишком высокая заработная плата;

– обширный социальный пакет;

– анонимный абонентский ящик или адрес электронной почты в качестве реквизитов;

– гарантия трудоустройства.

1.2.10. Горячие торговые точки

Интернет-магазины сегодня привлекают покупателей своими ценами (за счет экономии на аренде помещений), а также возможностью удобной доставки. Но и среди них бывают магазины с такими низкими ценами, что это выделяет их из общего ряда. Причем продавец обосновывает эти цены, иногда совсем не скрывая таких фактов, как «товар краденый», «товар конфискованный» и т. п.

Поэтому если жертва и решит купить такой товар, то вряд ли потом пойдет жаловаться, так как по сути является соучастником преступления (скупка краденого).

Схема мошенничества в данном случае прежняя: как только покупатель переводит деньги на счет продавца, связь с ним прекращается (веб-сайт магазина перестает работать, электронная почта не отвечает).

В общем случае все мошеннические интернет-магазины можно разделить на два вида:

– магазины, которые продают несуществующий товар;

– магазины, которые доставляют не тот товар, который представлен на веб-сайте.

Оформление и содержание ресурса заставляют пользователя думать, что данный веб-сайт принадлежит действующей организации (рис. 18).


Рис. 18. Веб-сайт фиктивного интернет-магазина


Для того чтобы обезопасить себя, потребителю необходимо проверить информацию об организации, указанной на веб-сайте, которая предоставляет товары или услуги. Данную информацию можно проверить на официальном веб-сайте ФНС России в разделе «Единый государственный реестр юридических лиц».

1.2.11. Сетевое попрошайничество

Если раньше большинство попрошаек можно было встретить на городских площадях и вокзалах, то теперь появился целый класс сетевых попрошаек, которые обращаются за помощью посредством интернета, выпрашивая деньги под разными предлогами: на срочную и дорогую операцию, чтобы избавиться от угроз вымогателей, погасить кредит и т. п.

Можно встретить сообщения о внезапно возникших проблемах в платежной системе WebMoney[33], для решения которых администратор просит перечислить какую-то сумму на свой кошелек. Причем если клиент, к которому обращается администратор, не перечислит деньги, в дальнейшем он не сможет воспользоваться своим кошельком (т. е. своими деньгами).

К сожалению, есть случаи, когда люди, особо не вдумываясь в суть происходящего, перечисляют свои деньги и потом узнают, что обращение поступило от мошенника, а не от администратора системы WebMoney.

Пользователям можно порекомендовать ни в коем случае не перечислять свои деньги до тех пор, пока не пришло подтверждение достоверности полученного сообщения.

Пример мошеннического сообщения приведен на рис. 19.


Рис. 19. Пример мошеннического сообщения


Одним из способов попрошайничества является отправка SMS якобы от родственников с просьбой перечислить денежные средства (рис. 20). В данном случае мошенники играют на чувствах потерпевших, вводят их в заблуждение. Часто в таких SMS сообщается о сложной жизненной ситуации, аварии или смерти кого-либо. Потерпевший должен быть бдительным, не поддаваться эмоциям и все проверить. При наличии возможности необходимо самостоятельно связаться с родственником, от которого якобы пришло сообщение. Следует также известить оператора связи о получении такого SMS.


Рис. 20. Пример мошеннического сообщения, поступившего якобы от родственника


Другим распространенным видом SMS-мошенничества является направление сообщения о том, что якобы на счет мобильного телефона жертвы ошибочно перечислена некая сумма, которую необходимо вернуть (рис. 21). Потенциальный потерпевший должен проверить баланс телефона, позвонить оператору связи и уточнить данные.


Рис. 21. Пример мошеннического сообщения о якобы ошибочном пополнении баланса телефона

1.2.12. Ботнеты[34]

Термин «бот» появился намного раньше, чем его стали использовать для обозначения компьютерного вируса и инструмента для атаки на компьютеры и сети. В IRC-сетях он до сих пор обозначает специальную программу, которая замещает собой живого человека и может поддерживать активность на IRC-канале даже в то время, когда к нему не подключен ни один из пользователей. Бот может контролировать и модерировать содержание бесед на канале, удалять посетителей, которые нарушают принятые правила поведения, и т. д. Это своего рода вариант искусственного разума.

Однако бот в арсенале хакера способен доставить серьезные проблемы. Хакеры могут находить через интернет незащищенные компьютеры и загружать на них специальные программы, которые будут по их команде выполнять различные действия (такие как рассылка спама или участие в DDoS-атаке[35]).

В качестве защиты от подобного заражения можно порекомендовать хороший мощный анализатор сетевого трафика, который позволит выполнять диагностику, идентификацию и перенаправление всего подозрительного интернет-трафика. Можно также использовать программное обеспечение для фильтрации пакетов, комбинируя его со специальными техническими и аппаратными средствами, которые устанавливаются между маршрутизаторами и межсетевыми экранами.

Достаточно эффективный способ решения этих проблем разработало правительство Австралии. Во взаимодействии с пятью крупнейшими интернет-провайдерами страны оно создало технологию и программу для своевременного обнаружения компьютеров-зомби и принятия оперативных мер по их блокировке. В большинстве случаев владельцы своих компьютеров даже не представляли, что участвовали в DDoS-атаке или что с их IP-адреса рассылался спам.

1.2.13. Сетевые банды

Одной из тенденций сегодняшнего дня является заметный рост числа новых компьютерных вирусов, червей и троянских программ. Троянские программы не могут рассылать себя по интернету самостоятельно, подобно компьютерным вирусам, так что масштабы их распространения должны быть меньше, чем у вирусов. Но на самом деле троянских программ и пораженных ими компьютеров с каждым годом становится все больше. Специалисты компании Sophos[36] сделали вывод, что такая ситуация стала следствием активности профессиональных преступников.

Криминальные группы, которые ранее занимались исключительно мошенничеством с банковскими картами, начали объединяться и все более тесно сотрудничать с создателями компьютерных вирусов, спамерами и группами безжалостных хакеров.

Приведенные примеры мошенничества в интернете ни в коем случае нельзя считать исчерпывающим перечнем ухищрений компьютерных злоумышленников.

К сожалению, во всемирной паутине, которая по своей сути является неуправляемой средой, постоянно возникают все новые и новые угрозы со стороны хакеров.

И от того, насколько своевременно будет построена защита от этих угроз, зависит доверие клиентов кредитных организаций к технологиям ДБО (включая СЭБ).

В условиях ДБО кредитные организации вынуждены существенно повышать уровень обеспечения информационной безопасности, так как основные атаки киберпреступников направлены именно на тех клиентов банков, которые осуществляют свои операции удаленно (т. е. вне офиса).

Очевидно, что абсолютной защиты от угроз для ДБО не существует. Компьютерные злоумышленники в состоянии взломать практически любую систему[37].

Однако непрерывная работа по поддержанию достаточного уровня информационной безопасности может сильно осложнить и (или) свести к минимуму возможности кибермошенников.

Масштабы кибермошенничества заставляют серьезно относиться к данному виду преступлений. Так, например, в июне 2012 г. новостные агентства распространили информацию о задержании преступной группы, включая ее организатора[38], который вместе со своими сообщниками похитил из систем ДБО более 150 млн руб.

По словам генерального директора компании Group-IB[39] Ильи Сачкова, принимавшего участие в расследовании деятельности данной преступной группы, это самая большая по численности участников киберпреступная группировка в России из тех, о которых известно специалистам по информационной безопасности[40]. В течение 2011 г. работала целая группа технических специалистов: заливщиков (распространителей вредоносного программного обеспечения), специалистов по шифрованию, администраторов, обслуживавших бот-сети, и других.

На протяжении последних нескольких лет, по данным Group-IB, мошенники использовали зарекомендовавшую себя в хакерских кругах троянскую программу Carberp[41].

Обобщая наиболее распространенные схемы совершения киберпреступлений в системах ДБО, можно выделить два способа.

Если сумма украденного составляет не более 1–1,5 млн руб., то деньги выводят сразу на пластиковые карты так называемых дропов (специально нанятых владельцев банковских карт, которые занимаются обналичиванием похищенных денег). Обычно в течение 15 минут после того, как деньги поступили на карточные счета, дропы обналичивают их через банкоматы и затем отдают своим нанимателям (рис. 22).


Рис. 22. «Простая» схема – примерно до 1,5 млн руб.


Если суммы крупнее, используются более сложные схемы обналичивания. Они применяются обычно при хищении средств в объеме от 1 до 5 млн руб.

В этом случае деньги предварительно переводят на счет юридического лица. Дальше сумму могут раздробить и распределить по другим счетам, чтобы сильнее запутать следы (рис. 23).

Группы мошенников, специализирующиеся на обналичивании, оставляют себе минимум 50 %.

Такой большой процент объясняется тем, что хищению предшествует длительный период подготовки. «Обнальщики» и похитители договариваются заранее.

К моменту хищения у «обнальщиков» уже все готово: создано подставное юридическое лицо, открыт счет в банке и выпущены карты, которые раздали дропам.

Современные условия позволяют любому юридическому лицу удаленно создать «зарплатный проект». Условно говоря, представитель компании сообщает в банк: у нас работает 15 человек, нам нужны зарплатные карты.


Рис. 23. «Сложная» схема – примерно до 5 млн руб.


Далее банку предоставляются паспортные данные «сотрудников», и тот выпускает карты. Паспортные данные берутся у тех же дропов или покупаются на хакерских форумах.

Кибермошенники чаще прибегают к помощи «обнальщиков», чем самостоятельно разворачивают дроп-проекты[42].

В последнее время участились кражи из электронных платежных систем. Схемы примерно те же, только деньги выводятся либо на другие кошельки, либо опять же на банковские карты.

Исходя из проведенного нами исследования, можно сформулировать следующие общие рекомендации для граждан:

– быть бдительными и проверять не только веб-сайты организаций, предоставляющих финансовые услуги, но и информацию, получаемую в SMS;

– не сообщать свои персональные данные, в том числе карточные данные, неизвестным третьим лицам;

– не переводить денежные средства в пользу третьих лиц без соответствующей проверки информации;

– если денежные средства все-таки похищены, незамедлительно сообщить в уполномоченные организации (в полицию, банк, оператору связи и т. д.).

Только бдительность и применение мер безопасности могут уберечь от хищений денежных средств.

1.3. Актуальные направления регулирования в условиях электронного банкинга

Никакой транспорт не будет попутным, если не знаешь, куда идти.

Эдгар Аллан По, американский писатель, поэт, эссеист, литературный критик и редактор

Распределение ответственности в сфере применения технологий ДБО в связи с вступлением в действие ст. 9[43] Федерального закона от 27.06.2011 № 161-ФЗ «О национальной платежной системе» [51] – наиболее острый вопрос, требующий доработки и четкого понимания обеими сторонами (банками и их клиентами). В действующей редакции большая часть ответственности переходит на кредитные организации, поэтому становятся понятны их многочисленные обращения к регулятору с просьбой выстроить сбалансированную справедливую систему, в которой все участники защищены и имеют возможность получить необходимую информацию.

Суть обращений сводится к тому, что каждая из сторон должна нести ответственность за свои действия (или бездействие) в пределах, не превышающих ее физические возможности, а также не должна допускать неотвратимого и безнаказанного причинения ущерба другой стороне.

Напомним, что коммерческие банки, работая в условиях жесткой конкуренции, не заинтересованы расходовать на обеспечение информационной безопасности больше средств, чем конкуренты. Информационная безопасность всегда связана с затратами для кредитных организаций, неудобствами для банковского персонала и клиентов. Что касается клиентов, то они обращают больше внимания на удобство банковских услуг, чем на их безопасность.

Поэтому кредитным организациям нужен разумный компромисс, который строится на нескольких базовых принципах организации информационной безопасности:

– стоимость защиты не должна превышать стоимости защищаемых информационных ресурсов;

– банк и клиент должны выйти на такой уровень защиты транзакций, когда для клиента защита еще удобна и приемлема по стоимости, а злоумышленнику уже невыгодно совершать преступление из-за высоких расходов на преодоление защиты.

Наряду с очевидными преимуществами СЭБ принесли в банковский бизнес дополнительные риски (рис. 24). А если говорить точнее, то количество типичных банковских рисков[44] осталось прежним, а вот их техническая составляющая значительно возросла.


Рис. 24. Дополнительные источники банковских рисков в условиях применения СЭБ


Непрерывность выполнения банковских операций стала во многом зависеть:

– от различных сбоев в аппаратно-программном обеспечении (АПО) СЭБ;

– качества и надежности каналов связи;

– наличия резервных источников электропитания;

– качества архивации данных об операциях с использованием СЭБ;

– недостатков в обеспечении информационной безопасности конфиденциальных сведений.

Однако необходимо хорошо понимать, что, применяя современные технологии и средства, мы можем осуществить те или иные процедуры удобнее, быстрее и в гораздо больших объемах, но при этом не надо рассчитывать на чудеса – за все надо платить. И если регулирование в области ДБО (включая услуги ЭБ) будет отставать от появления и распространения новых источников типичных банковских рисков, то «удобнее, быстрее и в больших объемах» в целом будет дороже. В первую очередь возрастают затраты на обеспечение безопасности данного способа оказания банковских услуг, так как кредитные организации будут вынуждены учитывать не только внутрибанковские риски, но и риски, возникающие на стороне клиента и различных провайдеров (например, интернет-провайдеров в случае интернет-банкинга, сотовых операторов в случае мобильного банкинга)[45].

По мнению авторов, на сегодняшний день есть четыре причины, по которым применение СЭБ нуждается в дополнительном регулировании:

1) расширение профиля операционного риска в условиях ЭБ;

2) значительный рост числа киберпреступлений в финансовой сфере (включая хищения денежных средств в СЭБ);

3) использование СЭБ в схемах, направленных на легализацию преступных доходов (или, другими словами, отмывание денег);

4) недостаточная подготовка сотрудников коммерческих банков по вопросам обеспечения информационной безопасности и управления сопутствующими рисками в условиях ЭБ.

Рассмотрим каждую из выделенных проблем более подробно.

1.3.1. Управление операционным риском

Причиной повышенного внимания к операционному риску стал выход соглашения Базельского комитета по банковскому надзору (БКБН) «Международная конвергенция измерения капитала и стандартов капитала: новые подходы» – Basel II. Соглашение Basel II является одним из наиболее актуальных нормативных актов, регулирующих банковский сектор. Оно предъявляет требования к минимальному размеру банковского капитала, на основании которых кредитные организации обязаны оценивать операционные, рыночные и кредитные риски, а также резервировать капитал на их покрытие.

Basel II трактует операционный риск как риск убытков, возникающий в результате неадекватных или ошибочных внутренних процессов, действий сотрудников и систем или в результате внешних событий.

В качестве возможных проявлений операционного риска можно выделить следующие типы событий:

– внешние воздействия (наводнения, пожары, аварии и т. п.);

– внутренние и внешние мошенничества;

– ошибки персонала;

– сбои в реализации бизнес-процессов и обслуживании клиентов;

– физический ущерб активам;

– сбои информационных систем;

– нарушение процессов обработки и хранения данных.

Требования, предъявляемые документами Basel II, были дополнены в документах Basel III, в том числе и в отношении операционного риска.

Отметим, что БКБН рекомендует привлекать к процессу управления рисками, возникающими при внедрении СЭБ в кредитных организациях, не только риск-подразделения, но и совет директоров, высшее руководство банка, а также топ-менеджеров банка.

Операционный риск является одним из основных типичных банковских рисков, на который в большей степени оказывают влияние СЭБ.

Он определяется как вероятность образования убытков и (или) неполучения прибыли вследствие сбоев в выполнении каждодневных, рутинных банковских операций. Применительно к ЭБ выделяются три главные зоны операционного риска:

1) функционирование системы безопасности;

2) привлечение сторонних организаций к предоставлению некоторых видов электронных банковских услуг (аутсорсинг);

3) освоение новых технологий сотрудниками банка [78, с. 499].

В первом случае речь идет о том, что возможны нарушения в процессах электронного хранения, передачи и обработки информации (искажение, уничтожение, перехват данных или злоупотребление ими в результате технических неполадок, действий хакеров, ошибок или мошенничества персонала и клиентов) и отказы в функционировании банковских информационных систем (возникновение перегрузок из-за недостаточной мощности аппаратно-программного обеспечения и целенаправленных DoS-атак на веб-серверы банка).

Вторая потенциально подверженная операционному риску сфера становится в последнее время весьма значимой. Предоставление банковских услуг в области информационных технологий посредством специализированных фирм (в первую очередь банки сотрудничают с компаниями по разработке прикладных программ) позволяет сократить инвестиционный бюджет и избежать найма дорогостоящих специалистов, что особенно важно для небольших финансовых учреждений. В то же время банки оказываются в определенной степени зависимыми от подобных партнеров, а общий уровень банковского обслуживания начинает определяться результатами работы нескольких, нередко никак не связанных между собой, компаний, сотрудники которых могут и не обладать достаточными знаниями о специфике банковского дела.

Наконец, ускорение процесса модернизации информационных систем повышает требования к адаптационным способностям персонала банков и увеличивает опасность возникновения трудностей при переходе ко все более сложным интегрированным электронным решениям. Довольно часто внедрение более «умной» и производительной технологии оборачивается для работников и клиентов банков значительными проблемами[46].

Смысл управления операционным риском заключается в прогнозе периодичности различных сбоев и нарушений непрерывности функционирования аппаратно-программного обеспечения СЭБ и оценке величины вероятных убытков. Отметим, что у потерь есть и положительная сторона – они вскрывают слабые места и открывают новые возможности. Поэтому самая большая ошибка – сокрытие нежелательного инцидента. Даже после того, как устранены рисковая ситуация или последствия неблагоприятного события, нельзя оставлять произошедшее в тайне: гораздо лучше использовать инцидент в качестве наглядного урока для других сотрудников.

Формы проявления операционного риска в условиях ЭБ могут быть самыми разнообразными. Однако все они вызваны, как правило, несоответствием определенных процедур требованиям законодательства, несоразмерностью технических возможностей СЭБ и объема бизнеса, техническими сбоями и отказами оборудования, непреднамеренными или умышленными действиями персонала и внешних субъектов, что отвечает классическому определению операционного риска.

Минимизировать операционный риск в условиях ЭБ можно с помощью общепринятых стратегий:

– принятие риска (отказ от превентивных мероприятий, воздействие на источники риска, самострахование (в т. ч. через кэптивные страховые компании), диверсификация активов и т. д.);

– полная или частичная передача риска (страхование, хеджирование, синдицирование и т. п.);

– избежание риска (отказ от применения конкретной системы, профилактика как устранение источников риска и пр.).

1.3.2. Противодействие киберпреступлениям в финансовой сфере

Следующая проблема связана с возрастанием активности киберпреступников, чьи усилия направлены на хищение денежных средств клиентов банков, использующих для выполнения своих операций СЭБ.

На конец 2019 г. было известно об активности 38 групп, кампании которых затрагивают все регионы мира. Аналитики Group-IB изучают в основном группы из России, Северной Кореи, Пакистана, Китая, Вьетнама, Ирана, США, ОАЭ, Индии, Турции, региона Южной Америки. К 2022 г., по прогнозу Всемирного экономического форума, сумма планетарного ущерба от кибератак вырастет до $8 трлн[47].

По статистике компании Group-IB, объем российского рынка киберпреступности во второй половине 2018 г. – первой половине 2019 г. составил почти 510 млн руб. (примерно $8 млн; снижение на 85 % к прошлому периоду)[48]. Из отчета МВД России «Состояние преступности в России»[49] следует, что за январь-октябрь 2019 г. в стране было зарегистрировано 2376 преступлений в сфере компьютерной безопасности.

Компьютерные злоумышленники сегодня совсем не похожи на тинейджеров, получивших первоначальные знания с хакерских веб-сайтов, а представляют собой специалистов с достаточно высокой подготовкой в области информационных технологий и в финансовых вопросах. Причем большинство из них действуют в составе организованных преступных групп. Сегодня доходы от компьютерных преступлений значительно превышают доходы, получаемые от продажи оружия и наркотиков.

Очевидно, что в будущем угрозы не станут проще. Уже сегодня многие атаки – это комбинации различных методик. Использование только традиционных систем, таких как сигнатурные антивирусы, не дает возможности адекватно защищаться от современных типов атак. Кредитные организации, которые защищаются только от известных угроз, всегда рискуют, поскольку атакующие продолжают создавать новые техники атак.

1.3.3. Противодействие использованию систем электронного банкинга в схемах, направленных на легализацию преступных доходов

Следующая проблема, связанная с применением СЭБ, заключается в активном привлечении данных систем к процессу легализации преступных доходов. В последнее время отмывание денег стало одной из основных международных проблем, к решению которой привлечены ведущие страны мира. Процедура отмывания денег имеет решающее значение для функционирования практически всех форм транснациональной и организованной преступности. Различные меры экономического характера, призванные исключить или ограничить возможность использования преступниками полученных незаконными путями доходов, представляют собой важнейший и действенный компонент программ по борьбе с преступностью. Приведем лишь некоторые факторы, способствующие отмыванию денег:

– высокая доля неофициальных доходов населения и бизнеса (существование параллельной экономики и (или) «черного рынка»);

– несовершенство механизмов контроля и мониторинга деятельности кредитных организаций;

– несоблюдение международных стандартов регулирования финансовой деятельности, разработанных специализированными международными организациями;

– распространение коррупции в различных органах власти;

– законодательное закрепление тайны финансовых операций;

– широкое использование предприятиями и банками операций с вовлечением офшорных компаний и др.

Как правило, в процесс отмывания денег включается целый ряд операций, направленных на сокрытие источника финансовых активов, но все они входят в одну из трех составляющих (стадий) обобщенной модели отмывания денег: размещение (placement), расслоение (layering) или интеграцию (integration). Указанные стадии могут быть пройдены одновременно или частично накладываться друг на друга в зависимости от выбранного механизма легализации и от требований, предъявляемых преступной организацией.

На стадии размещения необходимо изменить форму денежных средств с целью сокрытия их нелегального происхождения. Например, поступления от незаконной торговли наркотиками чаще всего представляют собой мелкие купюры. Конвертирование их в более крупные купюры, чеки или иные финансовые документы часто производится с помощью предприятий, имеющих дело с большими суммами наличных денег (рестораны, гостиницы, казино, автомойки) и используемых в качестве прикрытия.

На стадии расслоения лица, отмывающие деньги, стараются еще больше скрыть следы, по которым их могут обнаружить. Для этого одни сложные финансовые сделки наслаиваются на другие. Например, для отмывания больших денежных сумм создаются фиктивные компании в странах, отличающихся строгими законами о банковской тайне или слабыми механизмами обеспечения соблюдения законодательных положений, касающихся отмывания денег. Затем «грязные» деньги переводятся из одной фиктивной компании в другую до тех пор, пока не приобретут видимость законно полученных средств [100, с. 106].

На этой стадии активно используются СЭБ (рис. 25).

На стадии интеграции преступник пытается трансформировать доходы, полученные от противозаконной деятельности, в средства, внешне имеющие легальное происхождение (деньги обычно вкладываются в бизнес, недвижимость, драгоценности и др.).


Рис. 25. Обобщенная схема отмывания денег с использованием СЭБ


Поскольку процесс отмывания денег в определенной степени базируется на используемых преступником финансовых системах и операциях, выбор конкретных механизмов ограничивается лишь его изобретательностью. Деньги отмываются через валютные и фондовые биржи, торговцев золотом, казино, компании по продаже автомобилей, страховые и торговые компании. Частные и офшорные банки, подставные корпорации, зоны свободной торговли, электронные системы и торгово-финансовые учреждения – все эти структуры могут скрывать незаконную деятельность. Далее приведем наиболее распространенные негативные последствия отмывания денег:

1. Удар по репутации банков. Бесконтрольное отмывание денег способно негативно влиять на курсы валют и процентные ставки вследствие высокой интеграции фондовых рынков. Эти деньги могут поступать в глобальные финансовые системы и подрывать экономику и валюту отдельных стран. Нужно учитывать, что проведение банковских операций через интернет позволило значительно сократить время на осуществление различных платежей.

2. Подрыв целостности финансовых рынков. Кредитные организации, полагающиеся на доходы от преступных деяний, сталкиваются с дополнительными трудностями. Например, крупные суммы отмытых денег могут поступить в банк и затем внезапно бесследно исчезнуть через электронные переводы в ответ на такие нерыночные факторы, как операции правоохранительных органов.

3. Утрата контроля над экономической политикой. В некоторых странах с формирующейся рыночной экономикой незаконные доходы могут намного превосходить государственные бюджеты, что приводит к утрате правительственного контроля над экономической политикой. В ряде случаев огромная база активов, накопленная за счет отмытых денег, может использоваться для спекулятивной скупки рынков или даже целой экономики небольшой страны.

4. Экономические деформации и нестабильность. Лица, отмывающие деньги, заинтересованы не столько в извлечении прибыли, сколько в защите доходов, поэтому направляют свои средства в области, не обязательно приносящие экономическую выгоду той стране, в которой они размещены.

5. Потеря доходов. Отмывание денег снижает налоговые доходы правительства и тем самым наносит косвенный ущерб честным налогоплательщикам (затрудняется государственный сбор налогов). Такая потеря доходов означает более высокие ставки налогообложения по сравнению с нормальной ситуацией, при которой доходы были бы законными и облагались налогами.

6. Риск для программ приватизации. Отмывание денег угрожает стремлению многих стран реформировать свою экономику путем приватизации. Преступные организации располагают финансовыми средствами, позволяющими приобретать по более высоким ценам предприятия, прежде находившиеся в государственной собственности.

7. Социальные издержки. Отмывание денег ведет к росту государственных расходов на правоохранительные органы (создание специализированных подразделений) и здравоохранение (например, лечение наркотической зависимости).

В целом отмывание денег ставит перед мировым сообществом сложную задачу, постоянно приобретающую новые формы. Характер процессов требует разработки глобальных стандартов и международного сотрудничества для уменьшения возможности преступников осуществлять свою деятельность.

Регулирующие органы рекомендуют банкам эффективнее использовать все ресурсы для выявления сомнительных операций, направленных на отмывание денег. Меры по предотвращению отмывания денег предпринимаются банками не только в соответствии с требованиями законодательства, но и в собственных интересах [97, c. 32].

В рамках проведения процедур идентификации клиентов кредитным организациям следует:

– разработать и внедрить комплексные процедуры, связанные с открытием счетов, установлением кредитных и других деловых взаимоотношений, а также совершением операций с лицами, не имеющими счетов;

– иметь данные о действительной личности клиента, пользующегося услугами банка, в том числе о подлинном владельце счета, открытого на другое имя;

– подвергать проверке данные, удостоверяющие личность, во избежание открытия счетов фиктивным пользователям;

– располагать данными о роде занятий или профессиональной деятельности клиента, об источниках его доходов, состояния или активов, а также о конкретном источнике денежных средств, вовлеченных в совершаемые через банк операции;

– знать цель, с которой открывается счет, и иметь представление о типах операций, в которые обычно вовлечен данный клиент. При открытии счета сотрудники банка должны понимать, нужно ли отнести клиента к категории высокого риска, требующей повышенного внимания.

В рамках выполнения процедуры мониторинга кредитным организациям следует:

– иметь внутренние системы для идентификации и мониторинга операций, вызывающих подозрения;

– оценивать риск, исходя из конкретных видов счетов, регионов и операций;

– обращать внимание на случаи превышения установленного денежного порога депозитов при открытии счета, а также на ежемесячные телеграфные переводы, операции с наличностью, дорожными чеками, получение кредитов и заключение сделок (включая покупку и продажу валют, опционов и драгоценных металлов) и т. п.;

– обращать внимание на усиление активности по банковским счетам, особенно тем, которые могут стать объектами сомнительных операций (офшорные и корреспондентские счета, счета небанковских финансовых институтов, политических деятелей и др.);

– установить пороговые размеры сделок и время от времени проверять их адекватность.

Отдельно следует отметить роль топ-менеджеров кредитных организаций. Они должны стремиться к постановке и практической реализации задач в области предотвращения незаконных операций и демонстрировать, что банк как субъект корпоративной культуры заботится о своей репутации не меньше, чем о прибылях, маркетинге и качестве обслуживания клиентов.

Топ-менеджерам кредитных организаций необходимо хорошо представлять, что клиенты коммерческих банков, использующие для выполнения своих операций СЭБ и занимающиеся противоправной деятельностью, могут не только нанести удар по репутации банка, но и создать для него серьезные осложнения во взаимоотношениях с регулирующими органами, вплоть до отзыва лицензии на осуществление банковских операций.

1.3.4. Подготовка сотрудников коммерческих банков по вопросам обеспечения информационной безопасности

Четвертая область связана с совершенствованием профессиональной подготовки персонала банка (включая сотрудников служб внутреннего контроля) по вопросам обеспечения информационной безопасности. Учитывая заметное увеличение источников банковских рисков, основу которых составляют особенности функционирования СЭБ, специалистам коммерческих банков, в чьи функции входит управление рисками, необходимо иметь не только экономическое или юридическое, но и техническое образование, позволяющее достаточно уверенно ориентироваться в особенностях функционирования различных технологий ДБО.

Ненадлежащее обеспечение информационной безопасности СЭБ (в частности, продажа населению слабо защищенных финансовых услуг) ведет к созданию предпосылок для хищения денежных средств и финансирования криминала. Существующая динамика развития современных процессов, связанная с ростом технических возможностей, способна многократно увеличить объемы финансирования криминала. Если допустить рост хищений в больших объемах (что приведет к соизмеримости объема хищений с объемами денежных средств в госсекторе), это может быть серьезной угрозой экономической безопасности страны.

Загрузка...